Теперь всё официально.
Про эту ситуацию мы написали на прошлой неделе. Теперь есть пруф.
Сегодня стало известно, что Сбербанк, Тинькофф Банк и Альфа-Банк подтвердили небезопасность подобных команд Siri. Как пишет РБК, Сбербанк ограничивает такие SMS-переводы лимитом в 8 000 рублей в день, а Альфа-Банк установил ограничение 500 рублей/день.
Представители банков по-прежнему рекомендуют банально отключать Siri, если вы опасаетесь мошенничества такого рода. Также в Сбербанке можно отключить функцию управления средствами на счёте через SMS, отправив цифру 0 на номер 900.
Как развивались события
В компании Cadmus (IT-поддержка и безопасность) сняли видео с обходом защиты айфона по отпечатку, распознаванию голоса хозяина и несанкционированным переводом со счета Сбербанка на другой. Такое возможно осуществить не только со Сбером, но и Альфой, Газпромбанком, Югрой, Ак Барсом, Новикомом и многими другими, которые предоставляют управление счетом через СМС.
Итак, привет, Сири. Переведи 15 000 рублей на счет 12##7.
Цитата: Одна из основных проблем голосовых помощников — аутентификация пользователя, вроде Voice ID (та, которая на первом запуске назойливо просит поздороваться 5 раз). Siri просто-напросто не “может быть уверена”, хозяину ли принадлежит обращающийся к ней голос. Только с какой-то долей вероятности. Получается это пока не очень — для удобства потребителей и гарантии срабатывания, чувствительность узнавания хозяина Voice ID довольно низкая.
В любом случае, голос хозяина однажды возможно записать на диктофон, чтобы потом использовать его для запуска команд. Сколько можно дать прав такому “незнакомцу”, когда на 100% не уверен, что это владелец? Можно ли ему звонить с телефона и слать сообщения?
Начиная с 2015-го года в Apple считают, что можно. [Cadmus]
PS: Сбер требует удалить публикацию:
>>> Информируем Вас о том, что ПАО “Сбербанк” предпринимает активные действия, направленные на пресечение фактов распространения информации, порочащей деловую репутацию ПАО “Сбербанк”. В рамках данной программы регулярно производится мониторинг сети Интернет.
В ходе данного мониторинга был обнаружен ресурс iphones.ru (IP: 104.25.238.112), где 13.10.2016 опубликована статья “Наглядный пример увода денег с карты Сбербанка через Siri”:
https://www.iphones.ru/iNotes/624355
В связи с вышеизложенным, просим Вас удалить все упоминания ПАО “Сбербанк” из данной статьи, а также удалить видео-материал, который негативно влияет на деловую репутацию банка.
124 комментариев